SUSE Linux security & hardening Piotr Szewczuk Starszy konsultant pszewczuk@suse.com
O czym będziemy rozmawiać? Podstawowe operacje przy instalacji i po instalacji systemu SUSE Linux Enterprise Server Usługi systemowe, aktualizacje systemu, kontrola uprawnień Zabezpieczanie usługi SSH, kontrola uprawnień Wykorzystanie mechanizmów Host-based Intrusion Detection System (HIDS) Zabezpieczanie systemu za pomocą AppArmor Audyt i monitorowanie 2
Proces utwardzania systemu Linux 3
Planowanie i instalacja
Wsparcie dla systemów Linux https://www.suse.com/support/ 5
Linux podział sieci 6
Instalacja SUSE 7
8
9
SLES bezpieczne wgrywanie poprawek 100 0 % UPDATE ROLLBACK 10
SLES 12 SP1 - System plików Btrfs 11
Konfiguracja i poprawki
Wyłączenie zbędnych usług YaST 13
YaST Firewall 14
Bezpieczne zarządzanie SSH ssh-keygen -t dsa -b 1024 Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_dsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_dsa. Your public key has been saved in /root/.ssh/id_dsa.pub. Aby przyśpieszyć logowanie za pomocą ssh należy wyłączyć rozwiązywanie nazw DNS w konfiguracji serwera ssh (na zdalnym serwerze) #vi /etc/sshd/sshd_config UseDNS no #systemctl restart sshd 15
Bezpieczne zarządzanie SSH Automatyczna propagacja kluczy ssh na serwer ssh-copy-id -i /root/.ssh/id_dsa.pub root@sles11-hae-node2 Zaleca się, aby lokalnie też można było logować się za pomocą ssh: ssh-copy-id -i /root/.ssh/id_dsa.pub root@localhost Dodatkowe zabezpieczenia sshd #vi /etc/sshd/sshd_config Port 1234 PermitRootLogin no AllowUsers lokalnyadmin #systemctl restart 16
System plików uprawnienia Sprawdzanie plików i katalogów pod kątem możliwości zapisywania do nich przez wszystkich find / -perm -0002 -type f print find / -perm -0002 -type d print Sprawdzanie plików i katalogów pod kątem możliwości odczytu danych przez wszystkich find / -perm -0004 -type f print find / -perm -0004 -type d print Sprawdzanie plików pod kątem bitów suid / sgid find / -perm +4000 -type f print find / -perm +2000 -type f -print 17
YAST Security Center 18
Audyt i monitorowanie
SUDO delegacja uprawnień Sudo mechanizm nadawania praw do wykonywania programów, poleceń w systemie Linux Tworzymy konto lokalnego administratora np. lokalnyadmin i nadajemy mu prawa do wykonywania poleceń z prawami konta root. Visudo Cmnd_Alias BlokCmd = /usr/bin/passwd Lokalnyadmin ALL=ALL,!BlockCmd Wykonywany program należy poprzedzić poleceniem sudo np. sudo fdisk l SUDO loguje zdarzenia!!! 20
NetIQ PAM centralne sudo 21
NetIQ PAM centralne sudo 22
Linux Audit /etc/audit/auditd.conf /var/log/audit/audit.log 23
Linux Audit - aureport 24
DAC vs MAC dwa podejścia do uprawnień Discretionary Access Control (DAC) właściciel zasobu (użytkownik) ma prawo zarządzać prawami dostępu do swoich zasobów. Klasyczne podejście do modelu bezpieczeństwa. Mandatory Access Control (MAC) obowiązkowa kontrola dostępu dla podmiotów (użytkownik, proces) do obiektów (plik, katalog, urządzenie, port sieciowy). Kontrola odbywa się za pomocą odpowiednich atrybutów oraz polityk. Implementacje w SUSE Linux: AppArmor, SELinux. 25
SUSE Manager HEALTH MONITORING Optymalizacja zarządzania Wdrażanie Zarządzanie pakietami, poprawkami Ponowna instalacja Kontrola Asset Management Redeployment SUSE Manager Configuration Management Audyt systemów Raporty Obsługiwane systemy Provisioning Package Management Patch Management SECURITY SLES, RHEL + CentOS z Expanded Support RHEL + RHN CentOS + OEL nie wspierane komercyjnie jeszcze, ale działają ;-) COMPLIANCE
Zarządzanie konfiguracją w oparciu o Salt!!!! Scalable Speed Size Built for Future
Systemy monitorowania Nagios część SUSE Linux Icinga część SUSE Managera Zabbix Co monitorujemy: pamięć, zużycie hdd, procesora ruch sieciowy temperatura Należy pamiętać o konfiguracji: wykresów powiadomień 28
Wykrywanie włamań
Host Intrusion Detection System AIDE AIDE program do sprawdzania integralności plików w systemie Linux. /etc/aide.conf plik konfiguracyjny aide i pierwsze uruchomienie po utworzeniu bazy aide należy ją przenieść w bezpieczne miejsce Następnie cyklicznie sprawdzamy co zmieniło się w naszym systemie poleceniem: aide --check Aktualizacja bazy: aide --update 30
Host Intrusion Detection System AIDE 31
Host Intrusion Detection System rootkit`y chkrootkit, rkhunter narzędzia nie są dostępne standardowo w SLES 11/12. Można je zainstalować z dodatkowych kanałów na stronie: http://software.opensuse.org 32
SIEM NetIQ Sentinel 33
Testy penetracyjne http://www.kali.org http://www.openvas.org 34
35 Corporate Headquarters +49 911 740 53 0 (Worldwide) Join us on: Maxfeldstrasse 5 90409 Nuremberg Germany www.suse.com www.opensuse.org
Unpublished Work of SUSE LLC. All Rights Reserved. This work is an unpublished work and contains confidential, proprietary and trade secret information of SUSE LLC. Access to this work is restricted to SUSE employees who have a need to know to perform tasks within the scope of their assignments. No part of this work may be practiced, performed, copied, distributed, revised, modified, translated, abridged, condensed, expanded, collected, or adapted without the prior written consent of SUSE. Any use or exploitation of this work without authorization could subject the perpetrator to criminal and civil liability. General Disclaimer This document is not to be construed as a promise by any participating company to develop, deliver, or market a product. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. SUSE makes no representations or warranties with respect to the contents of this document, and specifically disclaims any express or implied warranties of merchantability or fitness for any particular purpose. The development, release, and timing of features or functionality described for SUSE products remains at the sole discretion of SUSE. Further, SUSE reserves the right to revise this document and to make changes to its content, at any time, without obligation to notify any person or entity of such revisions or changes. All SUSE marks referenced in this presentation are trademarks or registered trademarks of Novell, Inc. in the United States and other countries. All third-party trademarks are the property of their respective owners.